PHP的93個WordPress外掛有後門
因為93 個 WordPress 主題和外掛包含後門,從而使得攻擊者可以完全控制網站。攻擊者總共入侵了 AccessPress 的 40 個主題和 53 個外掛,AccessPress 是 WordPress 外掛的開發者,用於超過 360,000 個活動網站。
該攻擊是由 Jetpack 的研究人員發現的,Jetpack 是 WordPress 網站安全和最佳化工具的建立者,他們發現 PHP 後門已被新增到主題和外掛中。
Jetpack 認為外部威脅攻擊者入侵了 AccessPress 網站以破壞軟體並感染更多的 WordPress 網站。
一旦管理員在他們的網站上安裝了一個受感染的 AccessPress 產品,就會在主主題目錄中新增一個新的“initial.php”檔案,並將其包含在主“functions.php”檔案中。該檔案包含一個 base64 編碼的有效負載,它將 webshell 寫入“./wp-includes/vars.php”檔案。惡意程式碼透過解碼並將其注入“vars.php”檔案來完成後門安裝,實質上是讓攻擊者遠端控制受感染的站點。
檢測這種威脅的唯一方法是使用核心檔案完整性監控解決方案,因為惡意軟體會刪除“initial.php”檔案釋放器以掩蓋其蹤跡。
我受到影響嗎?
如果您在您的網站上安裝了其中一個受感染的外掛或主題,則刪除/替換/更新它們不會根除任何可能透過它植入的 webshell。
因此,建議網站管理員透過執行以下操作來掃描他們的網站是否存在入侵跡象:
- 檢查您的 wp-includes/vars.php 檔案的第 146-158 行。如果您在那裡看到帶有一些混淆程式碼的“wp_is_mobile_fix”函式,那麼您已經被入侵了。
- 在您的檔案系統中查詢“wp_is_mobile_fix”或“wp-theme-connect”以檢視是否有任何受影響的檔案
- 用新副本替換您的核心 WordPress 檔案。
- 升級受影響的外掛並切換到不同的主題。
- 更改 wp-admin 和資料庫密碼。
Jetpack 提供了以下 YARA 規則,可用於檢查站點是否已被感染並檢測 dropper 和已安裝的 webshell:
rule accesspress_backdoor_infection { strings: // IoC's for the dropper $inject0 = "$fc = str_replace('function wp_is_mobile()'," $inject1 = "$b64($b) . 'function wp_is_mobile()'," $inject2 = "$fc);" $inject3 = "@file_put_contents($f, $fc);" // IoC's for the dumped payload $payload0 = "function wp_is_mobile_fix()" $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');" $payload2 = "$g = $_COOKIE;" $payload3 = "(count($g) == 8 && $is_wp_mobile) ?" $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/ condition: all of ( $inject* ) or all of ( $payload* ) or $url0 } |
相關文章
- WordPress 外掛
- WordPress入門02-安裝WordPress外掛的幾種方法
- WordPress入門04-如何管理已安裝的WordPress外掛
- 用Python分析5萬+個WordPress外掛Python
- wordpress升級後後悔了可以使用外掛將wordpress降級為低版本
- WordPress投稿外掛-DX-Contribute
- 如何給Wordpress安裝外掛
- WordPress外掛Jetpack存在漏洞,暴露數百萬個站點Jetpack
- WordPress 遷移外掛終極指南
- wordpress外掛開發03-簡單的all in one seo 外掛開發
- PHP外掛系統的實現(七):外掛案例PHP
- gitbook 入門教程之實用外掛(新增3個外掛)Git
- WordPress問答外掛DW Question Answer分享
- 程式碼高亮WordPress外掛:Pure-HighlightjsJS
- 雲主機使用WordPress 字型提速外掛
- PHP外掛系統的實現(五):觸發外掛PHP
- 一個不易發現的PHP後門 --PHP
- WordPress開發入門03:編輯PHP檔案的2個方式PHP
- 流行 WordPress 外掛被憤怒的前僱員劫持
- wordpress外掛在伺服器上的儲存位置伺服器
- 實現會員制功能的WordPress外掛-Simple Membership
- wordpress外掛開發02-首頁文章自動摘要外掛開發
- 用Python爬取WordPress官網所有外掛Python
- wordpress外掛開發01-原理講解
- WordPress線上檢視PDF外掛:PDFjs ViewerJSView
- [外掛擴充套件]書架外掛(新外掛後臺)套件
- php常用外掛安裝PHP
- wordpress外掛上傳的失敗原因和處理方案
- WordPress開發入門02:WordPress中不同目錄型別的PHP檔案型別PHP
- 【Wing】背後的外掛們
- Chrome外掛入門Chrome
- WordPress被曝外掛漏洞,分分鐘接管網站網站
- WordPress產品分類新增,自動排序外掛排序
- Custom Post Types [2.1.14] - WordPress高階自定義外掛
- PHP外掛系統的實現(二):獲取全部外掛資訊PHP
- [需求建議]【外掛需求】有沒有人做一個站內訊息的外掛啊
- PHP外掛系統的實現(一)PHP
- [外掛擴充套件]自己寫的外掛。怎麼後臺?套件